a. behovet for beskyttelse er identifisert, basert på informasjonssystemets funksjon og operative miljø b. mangler som er forbundet med fastlegging av sikkerhetskrav, etablering av sikkerhetstiltak og sikkerhetstiltakenes funksjon, er identifisert og håndtert med kompenserende tiltak c. det foreligger en plan for å rette manglene.
